Categories: Windows 10Windows 11Windows Server 2019Windows Server 2022

Поиск недоверенных корневых сертификатов в хранилище сертификатов Windows

Пользователям Windows нужно уделять тщательное внимание сертификатам, которые установленных на компьютере. С помощью поддельных самоподписанных сертификатов, которые пользователь добавил в хранилище корневых сертификатов, злоумышленники могут осуществить атаки MiTM (man-in-the-middle), перехватывать трафик (в том числе HTTPS), разрешать запуск вредоносного ПО и скриптов и т.п.

Для поиска сторонних недоверенных и поддельных сертификатов в хранилище сертификатов Windows, можно использовать утилиту sigcheck . Утилита позволяет сравнить список сертификатов, установленных на компьютере, со списком доверенных корневых центров сертификации, (Trusted Root Certification Authorities) который ведется компанией Microsoft в рамках Microsoft Trusted Root Certificate Program.

Скачайте архив c утилитой Sigcheck ( https://learn.microsoft.com/en-us/sysinternals/downloads/sigcheck ) и распакуйте на локальный диск;
Откройте командную строку и перейдите в каталог с утилитой:
cd c:toolssigcheck
Проверьте есть ли сторонние сертификаты в корневом хранилище Machineroot:
sigcheck64.exe -tv root
В данном примере утилита показала, что в корневом хранилище доверенных сертификатов компьютере есть два сторонних сертификата: DESKTOP-P2FHTKQ и Windows Admin Center
Чтобы проверить все хранища сертификатов компьютера, выполните:
.sigcheck64.exe -tv *

У пользователя могут быть установлены собственные сертификаты (это другое хранилище), отличное от системной. Следующая команда выведет все недоверенные сертификаты, установленные у пользователя (добавье параметр -u (user)):

sigcheck64.exe -tuv *

Некоторый зловреды, которые не могут установить сертификат в системное хранилище, устанавливаются в хранилище сертификатов пользователя.

Утилита Sigcheck сравнивает список сертификатов установленных на компьютере со списком доверенных корневых сертификатов на сайте Microsoft и выводит только сертификаты, которые отсуствуют в этом списке. Если на компьютере отсустует прямое подключение к интернету, нужно вручную скачать файл authrootstl.cab со список корневых сертификаптов в формате Certification Trust List ( http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab ) и сохранить его в каталог с утилитой. Это позволит провести офлайн проверку хранилища.

В идеале, на компьютер должны отсуствовать сторонние сертификаты. Если в списке есть сертификаты, которые вы явно не устаналивали и не использовали, их нужно удалить.

На компьютерах, включенных в домен Windows , некоторые корневые сертификаты могут устаналиваться с помощью групповых полититик (обычно это корневые сертификаты внутреннего центра сертификации CA.

Удалить сертификат из хранилиза можно по его отпечатку (скопируйте Thumbrint сертификата из вывода sigcheck) с помощью команды:

certutil –delstore Root C17163D597E8A9F01F5E55679866C6C941540195

Также можно удалить сертификат из оснастку управления сертификатами компьютера компьютера ( certlm.msc )или пользователя ( Certmgr.msc ).

Разверните контейнер Trusted Root Certification Authorities (Доверенные корневые центры сертификации) -> Certificates и удалите сертификаты, найденные утилитой SigCheck.

В этом примере я удалил самоподписанный сертификат, созданный с помощью командлета New-SelfSignedCertificate , который я создавал для подписывания кода PowerShell скрипта .

Рекомендуем регулярно выполнить сканирование хранилища сертификатов Windows, особенно на OEM компьютерах с предустановленной ОС (производители компьютеров/ноутбуков часто добавляют свои корневые сертификаты).

admin